5 月 23 日消息,國家互聯網應急中心(CNCERT)今日公告����,CNCERT 和安天聯合監測到“游蛇”黑產團伙(IT酷哥注:又名“銀狐”����、“谷墮大盜”�����、“UTG-Q-1000”等)組織活動頻繁�����,攻擊者采用搜索引擎 SEO 推廣手段��,偽造 Chrome 瀏覽器下載站。偽造站與正版官網高度相似,極具迷惑性��。zI728資訊網——每日最新資訊28at.com
用戶一旦誤信并下載惡意安裝包���,游蛇遠控木馬便會植入系統并實現對目標設備的遠程操控����,盜取敏感數據等操作。通過跟蹤監測發現其每日上線境內肉雞數(以 IP 數計算)最多已超過 1.7 萬。zI728資訊網——每日最新資訊28at.com
攻擊活動分析
攻擊者搭建以“Chrome 瀏覽器”為誘餌的釣魚網站��,誘導受害者從網站下載惡意安裝包�����。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 1 釣魚網站示例 1zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 2 釣魚網站示例 2zI728資訊網——每日最新資訊28at.com
攻擊者搭建了多個釣魚網站���,下載時又跳轉至多個下載鏈接,具體如下表所示�。zI728資訊網——每日最新資訊28at.com
表 1 釣魚網絡地址及惡意安裝包下載地址zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
下載的惡意安裝包是以“chromex64.zip”命名的壓縮包文件��。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 3 下載的惡意安裝包zI728資訊網——每日最新資訊28at.com
壓縮包存在兩個文件,其中 chromex64.exe 是一個文件解壓程序��,另一個是正常的 dll 文件��,但文件名以日月年格式命名�,疑似惡意程序更新日期��。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 4 惡意安裝包中的文件zI728資訊網——每日最新資訊28at.com
chromex64.exe 運行后將默認在 C:/Chr0me_12.1.2 釋放文件��。其中包含舊版本 Chrome 瀏覽器相關文件,由于該軟件不是正常安裝�����,導致瀏覽器無法正常更新��。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 5 安裝程序釋放的文件zI728資訊網——每日最新資訊28at.com
同時會解壓程序在桌面創建快捷方式�,但快捷方式中實際初始運行的是本次活動投放的惡意文件�,攜帶參數運行,不僅啟動自身�,還啟動 Chrome 瀏覽器進程���,以掩蓋該惡意快捷方式功能���。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 6 偽裝的 Chrome 快捷方式zI728資訊網——每日最新資訊28at.com
對應路徑文件如下���,采用 dll 側加載(白 + 黑)形式執行����。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 7 實際投放的惡意文件zI728資訊網——每日最新資訊28at.com
在內存中解密并執行 shellcode��,該 shellcode 實質為 dll 格式的 Gh0st 遠控木馬家族變種。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 8 內存中的 Gh0st 遠控木馬zI728資訊網——每日最新資訊28at.com
該 dll 加載后,連接 C2 地址 duooi.com:2869���,其中的域名是 2025 年 2 月 19 日注冊的,目前最新樣本主要請求該域名。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 9 連接 C2 地址zI728資訊網——每日最新資訊28at.com
基于情報關聯域名解析的 IP 地址��,發現攻擊者基于任務持續注冊域名����,并硬編碼至加密的 shellcode 文件中,部分舊有域名也更換 IP 地址���,樣本分析期間所有域名又更換了兩次解析 IP 地址。zI728資訊網——每日最新資訊28at.com
表 2 C2 域名變化zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
樣本對應的 ATT&CK 映射圖譜
zI728資訊網——每日最新資訊28at.com
圖 10 技術特點對應 ATT&CK 的映射zI728資訊網——每日最新資訊28at.com
ATT&CK 技術行為描述表如下�。zI728資訊網——每日最新資訊28at.com
表 3 ATT&CK 技術行為描述表zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
感染規模
通過監測分析發現���,國內于 2025 年 4 月 23 日至 5 月 12 日期間�,“游蛇”黑產團伙使用的 Gh0st 遠控木馬日上線肉雞數最高達到 1.7 萬余臺��,C2 日訪問量最高達到 4.4 萬條����,累計已有約 12.7 萬臺設備受其感染���。每日境內上線肉雞數情況如下。zI728資訊網——每日最新資訊28at.com
zI728資訊網——每日最新資訊28at.com
圖 11 每日上線境內肉雞數zI728資訊網——每日最新資訊28at.com
防范建議
請廣大網民強化風險意識���,加強安全防范,避免不必要的經濟損失�����,主要建議包括:zI728資訊網——每日最新資訊28at.com
(1)建議通過官方網站統一采購���、下載正版軟件��。如無官方網站建議使用可信來源進行下載,下載后使用反病毒軟件進行掃描并校驗文件 HASH。zI728資訊網——每日最新資訊28at.com
(2)盡量不打開來歷不明的網頁鏈接��,不要安裝來源不明軟件�。zI728資訊網——每日最新資訊28at.com
(3)加強口令強度,避免使用弱口令,密碼設置要符合安全要求�����,并定期更換��。建議使用 16 位或更長的密碼�����,包括大小寫字母、數字和符號在內的組合,同時避免多個服務器使用相同口令���。zI728資訊網——每日最新資訊28at.com
(4)梳理已有資產列表,及時修復相關系統漏洞。zI728資訊網——每日最新資訊28at.com
(5)安裝終端防護軟件,定期進行全盤殺毒����。zI728資訊網——每日最新資訊28at.com
(6)當發現主機感染僵尸木馬程序后�����,立即核實主機受控情況和入侵途徑,并對受害主機進行清理。zI728資訊網——每日最新資訊28at.com
相關 IOC樣本 MD5:
A1EAD0908ED763AB133677010F3B9BD7zI728資訊網——每日最新資訊28at.com
ED74A6765F2FFEE35565395142D8B8B4zI728資訊網——每日最新資訊28at.com
10FAC344D2F74D47FF79FE4A6D19765EzI728資訊網——每日最新資訊28at.com
IP:
104[.]233.164.131zI728資訊網——每日最新資訊28at.com
61[.]110.5.21zI728資訊網——每日最新資訊28at.com
137[.]220.131.139zI728資訊網——每日最新資訊28at.com
137[.]220.131.140zI728資訊網——每日最新資訊28at.com
DOMAIN:
hiluxo[.]comzI728資訊網——每日最新資訊28at.com
titamic[.]comzI728資訊網——每日最新資訊28at.com
simmem[.]comzI728資訊網——每日最新資訊28at.com
golomee[.]comzI728資訊網——每日最新資訊28at.com
duooi[.]comzI728資訊網——每日最新資訊28at.com
sadliu[.].comzI728資訊網——每日最新資訊28at.com
URL:
http[:]//google-chrom.cnzI728資訊網——每日最新資訊28at.com
https[:]//google-chrom.cnzI728資訊網——每日最新資訊28at.com
https[:]//chrome-html.comzI728資訊網——每日最新資訊28at.com
https[:]//am-666.comzI728資訊網——每日最新資訊28at.com
https[:]//chrome-admin.com/zI728資訊網——每日最新資訊28at.com
https[:]//zhcn.down-cdn.com/chromex64.zipzI728資訊網——每日最新資訊28at.com
https[:]//cdn.downoss.com/chromex64.zipzI728資訊網——每日最新資訊28at.com
https[:]//oss.downncdn.com/chromex64.zipzI728資訊網——每日最新資訊28at.com
https[:]//cdn-kkdown.com/chromex64.zipzI728資訊網——每日最新資訊28at.com
本文鏈接:http://www.tebozhan.com/showinfo-26-153004-0.html國家互聯網應急中心:“游蛇”黑產團伙組織活動頻繁�,偽造 Chrome 下載站盜取敏感數據
聲明:本網頁內容旨在傳播知識���,若有侵權等問題請及時與本網聯系����,我們將在第一時間刪除處理���。郵件:2376512515@qq.com
上一篇: 海外首發已超 10 國��,國內期待拉滿,榮耀 400 格局穩了!
下一篇: 兒童節禮物怎么選?運動宇宙讓孩子玩出好體能
津公網安備 12010102000574號